提供一次性密碼技術的資訊安全廠商Authenex亞洲區首席代表歐陽宏明表示,網路釣魚攻擊將可利用偽造網頁的方式,竊取使用者所登錄的使用者名稱及密碼,即便是標榜單次使用的OTP也難逃遭盜用的命運。目前,現有提供一次性密碼技術的廠商包括RSA、Authenex、ActiveCard等。
一次性密碼(One-time password, OTP)的產生方式,主要是以時間差做為伺服器與密碼產生器的同步條件,密碼產出器在使用者有登入需求時,將亂數產出只可使用一次的密碼,用以解決密碼容易遭到破解的問題。
OTP一般分為計次使用以及計時使用兩種,計次使用的OTP產出後,可在不限時間內使用;計時使用的OTP則可設定密碼有效時間,從30秒到兩分鐘不等。歐陽宏明說,當使用者登入釣魚攻擊的假網頁後,駭客將可在密碼有效期間內登入認證伺服器,獲取所想要的個人資訊或進行不當行為。
Authenex便以推出內含多種認證方式的單一權杖(Token)做為應對,包括OTP、PKI(Public Key Infrastructure,公共金鑰基礎架設),以及Challenge and response(挑戰回答)認證協定,等三種認證方式。台灣區客戶以銀行、海運以及航空業者為主。
同樣提供OTP安全產品的RSA台灣區技術顧問黃惠美則表示,OTP技術的確有遭受網路釣魚攻擊的可能性,但她強調,受到攻擊的機率並不高,由於台灣地區採用OTP做為商業用認證方案的比例仍低,截至目前為止台灣地區尚未有相關災情傳出。